La nouvelle législation européenne sur la protection des données (GDPR) n’interdit pas l’authentification par nom d’utilisateur et mot de passe – mais elle proscrit en revanche toute protection insuffisante des informations personnelles des citoyens européens, explique Bjørn Søland, expert technique pour la société d’identités et de sécurité Nexus Group.
Le GDPR contraint les organisations à pratiquer des évaluations de risque, et si une évaluation montre qu’une méthode d’authentification basée sur nom d’utilisateur et mot de passe ne pose pas problème particulier, cette méthode sera considérée conforme.
Télécharger le E-book: L’état de la sécurité informatique 2018 – données et perspectives
Les mots de passe seront interdits par le GDPR
Par exemple, dans le cas très improbable (et très peu pratique) où le logiciel de gestion des données personnelles est installé sur un ordinateur isolé, lui-même déconnecté de tout réseau et enfermé dans une pièce dont l’accès physique est sérieusement sécurisé.
Dans l’écrasante majorité des cas, les mots de passe statiques n’autorisent qu’un faible niveau de sécurité, et sont par conséquents proscrits par le GDPR.
Il sera intéressant d’observer comment les organisations pratiqueront leur gestion des risques, et quelles conclusions elles en tireront quant à l’utilisation des mots de passe. Quelles conclusions, également, en tireront les instances en charge des audits. Mais selon moi les organisations feraient mieux de ne pas mettre en péril leur conformité en conservant leurs mots de passe – surtout depuis qu’elles ont toutes les bonnes raisons d’adopter l’authentification à deux facteurs (2FA).
Lire le blog : Prendre les mesures nécessaires avant l’entrée en vigueur du GDPR
1FA + 1FA n’est pas 2FA
Et pour ceux d’entre vous pour qui la sécurité n’est pas la priorité, je voudrais rappeler qu’en arithmétique de sécurité, 1 + 1 n’est pas toujours égal à 2. Une authentification par nom d’utilisateur et mot de passe statique est une authentification à un facteur (1FA). Le fait que deux authentifications 1FA (une première par login sur l’ordinateur, puis une seconde pour accéder au logiciel de gestion des données) soient nécessaires pour accéder aux informations personnelles de citoyens européens, ne change rien au problème. Cela peut ne pas sembler évident au premier abord, mais 1FA + 1FA = 1FA.
Il est déjà obligatoire de protéger les services cloud hébergeant des données personnelles sensibles par une authentification 2FA. Chez Nexus, nous faisons cela quotidiennement. Cela nous donne une excellente connaissance des scénarios de login à la fois dans le cloud et sur site. Et je peux vous assurer que nous avons, de même que toutes les organisations gérant des informations personnelles de citoyens européens, beaucoup à faire d’ici au 25 mai 2018.
Bjørn Søland, expert technique chez Nexus.